容器编排技术 -- Kubernetes Network Policy
容器编排技术 -- Kubernetes Network Policy
- 1 前提条件
- 2 隔离的与未隔离的 Pod
- 3 NetworkPolicy 资源
- 4 默认策略
- 4.1 下一步
网络策略说明一组 Pod 之间是如何被允许互相通信,以及如何与其它网络 Endpoint 进行通信。 NetworkPolicy 资源使用标签来选择 Pod,并定义了一些规则,这些规则指明允许什么流量进入到选中的 Pod 上。
前提条件
网络策略通过网络插件来实现,所以必须使用一种支持 NetworkPolicy 的网络方案 —— 非 Controller 创建的资源,是不起作用的。
隔离的与未隔离的 Pod
默认 Pod 是未隔离的,它们可以从任何的源接收请求。 具有一个可以选择 Pod 的网络策略后,Pod 就会变成隔离的。 一旦 Namespace 中配置的网络策略能够选择一个特定的 Pod,这个 Pod 将拒绝任何该网络策略不允许的连接。(Namespace 中其它未被网络策略选中的 Pod 将继续接收所有流量)
NetworkPolicy 资源
查看 API参考 可以获取该资源的完整定义。
下面是一个 NetworkPolicy 的例子:
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:name: test-network-policynamespace: default
spec:podSelector:matchLabels:role: dbingress:- from:- namespaceSelector:matchLabels:project: myproject- podSelector:matchLabels:role: frontendports:- protocol: TCPport: 6379
将上面配置 POST 到 API Server 将不起任何作用,除非选择的网络方案支持网络策略。
必选字段:像所有其它 Kubernetes 配置一样, NetworkPolicy 需要 apiVersion、kind 和 metadata这三个字段,关于如何使用配置文件的基本信息,可以查看 这里,这里 和 这里。
spec:NetworkPolicy spec 具有在给定 Namespace 中定义特定网络的全部信息。
podSelector:每个 NetworkPolicy 包含一个 podSelector,它可以选择一组应用了网络策略的 Pod。由于 NetworkPolicy 当前只支持定义 ingress 规则,这个 podSelector 实际上为该策略定义了一组 “目标Pod”。示例中的策略选择了标签为 “role=db” 的 Pod。一个空的 podSelector 选择了该 Namespace 中的所有 Pod。
ingress:每个NetworkPolicy 包含了一个白名单 ingress 规则列表。每个规则只允许能够匹配上 from和 ports配置段的流量。示例策略包含了单个规则,它从这两个源中匹配在单个端口上的流量,第一个是通过namespaceSelector 指定的,第二个是通过 podSelector 指定的。
因此,上面示例的 NetworkPolicy:
- 在 “default” Namespace中 隔离了标签 “role=db” 的 Pod(如果他们还没有被隔离)
- 在 “default” Namespace中,允许任何具有 “role=frontend” 的 Pod,连接到标签为 “role=db” 的 Pod 的 TCP 端口 6379
- 允许在 Namespace 中任何具有标签 “project=myproject” 的 Pod,连接到 “default” Namespace 中标签为 “role=db” 的 Pod 的 TCP 端口 6379
查看 NetworkPolicy 入门指南 给出的更进一步的例子。
默认策略
通过创建一个可以选择所有 Pod 但不允许任何流量的 NetworkPolicy,你可以为一个 Namespace 创建一个 “默认的” 隔离策略,如下所示:
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:name: default-deny
spec:podSelector:
这确保了即使是没有被任何 NetworkPolicy 选中的 Pod,将仍然是被隔离的。
可选地,在 Namespace 中,如果你想允许所有的流量进入到所有的 Pod(即使已经添加了某些策略,使一些 Pod 被处理为 “隔离的”),你可以通过创建一个策略来显式地指定允许所有流量:
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:name: allow-all
spec:podSelector:ingress:- {}
下一步
了解 声明网络策略 ;
译者:shirdrn / 原文地址
容器编排技术 -- Kubernetes Network Policy相关推荐
- 容器编排技术 -- Kubernetes kubectl rolling-update 命令详解
容器编排技术 -- Kubernetes kubectl rolling-update 命令详解 1 kubectl rolling-update 2 语法 3 示例 4 Flags kubectl ...
- 容器编排技术 -- Kubernetes kubectl autoscale 命令详解
容器编排技术 -- Kubernetes kubectl autoscale 命令详解 1 kubectl autoscale 2 语法 3 示例 4 Flags kubectl autoscale ...
- 容器编排技术 -- Kubernetes kubectl expose命令详解
容器编排技术 -- Kubernetes kubectl expose命令详解 1 kubectl expose 2 语法 3 示例 4 其它详细说明 kubectl expose 将资源暴露为新的K ...
- 容器编排技术 -- Kubernetes kubectl run 命令详解
容器编排技术 -- Kubernetes kubectl run 命令详解 1 kubectl run 2 语法: 3 示例: 4 其它详细说明 kubectl run 创建并运行一个或多个容器镜像. ...
- 容器编排技术 -- Kubernetes Deployment
容器编排技术 -- Kubernetes Deployment 1 创建 Deployment 1.1 Pod-template-hash label 2 更新Deployment 2.1 Rollo ...
- 容器编排技术 -- Kubernetes 示例:使用 Stateful Sets 部署 Cassandra
容器编排技术 -- Kubernetes 示例:使用 Stateful Sets 部署 Cassandra 1 Objectives 2 Before you begin 2.1 Minikube 附 ...
- 容器编排技术 -- Kubernetes Volume
容器编排技术 -- Kubernetes Volume 1 背景 2 Volume 类型 2.1 emptyDir 2.2 hostPath 2.3 gcePersistentDisk 2.4 aws ...
- 容器编排技术 -- Kubernetes StatefulSet基本使用
容器编排技术 -- Kubernetes StatefulSet基本使用 1 Objectives 2 Before you begin 2.1 顺序创建 Pod 3 Pods in a Statef ...
- 容器编排技术 -- Kubernetes Replica Sets
容器编排技术 -- Kubernetes Replica Sets 1 如何使用ReplicaSet 2 何时使用ReplicaSet 3 示例 4 ReplicaSet as an Horizont ...
最新文章
- 浦发银行(600000.sh):与中国移动珠联璧合联姻
- ORG.SPRINGFRAMEWORK.HTTP.CONVERTER.HTTPMESSAGENOTREADABLEEXCEPTION: COULD NOT READ JSON: UNRECOGNIZE
- 电池报废征兆,三招辨别该不该换新
- C语言常见单链表面试题(2)
- JVM调优:G1垃圾回收器
- Mysql数据库表复制操作语句
- 获取Android手机的分辨率通过ADB命令
- 深入浅出MySQL数据库(一)
- 将SpringBoot的项目打包成war文件
- 怎么让抠图融入背景_李现壁纸+头像+背景图+情侣头像抠图特辑来了
- JavaScript 评论添加练习
- Hibernate,get()和load()区别
- 存储服务器格式化恢复方法
- springboot网上图书商城源码
- 基于 Docker 的几种常用 CentOS7 镜像
- Terrasolid安装
- es运维常用基本命令记录。
- Linux环境变量PSI指什么,psi是什么单位(pSI指标应用原则)
- C#编程,获取当前时间为一年的第几周的一种方法。
- 人到底是为了什么活着?